Depuis quelques années, l’externalisation des capacités informatiques s’est grandement développée.
Les motivations sont très diverses et variées… Mais trop souvent, l’impression d’avoir la paix, n’est qu’une illusion qui coûte !
Chez E&V Partners, nous sommes régulièrement amenés à rendre des avis sur des cahiers de charge informatique où, lors de la rédaction, la question se pose de migrer ou pas vers une solution cloud.
Tout d’abord, de trop nombreux cahiers des charges sur lesquels E&V Partners a eu l’occasion de travailler, étaient incomplets ou du moins laissaient trop de latitude aux prestataires.
Ensuite, pour les aspects cloud, plusieurs dispositions techniques et juridiques sont à prendre en compte lors de la réalisation des prestations. Notamment réfléchir à certaines clauses importantes ;
- Clause relative à la possibilité pour un fournisseur de services « cloud » de sous-traiter une partie de ses activités à d’autres parties (fournisseurs de services cloud).
- Clause relative à l’intégrité, à la continuité et à la qualité de la prestation de services par le fournisseur de services cloud
- Clause relative à la restitution des données par le fournisseur de services cloud
- Clause relative à la portabilité des données et à l’interopérabilité des systèmes
- Clause relative aux obligations du fournisseur de services cloud en matière de confidentialité des données
- Clause relative à la souveraineté (extraterritorialité de lois étrangères). La mise en lumière, par des cas très concrets, de risques liés à la souveraineté et aux lois étrangères que certains pays veulent appliquer à des personnes et des organisations en dehors leurs territoires… Un cloud souverain assure que les données et les métadonnées d’une organisation, qu’elles soient publiques ou privées, restent physiquement et juridiquement sur le territoire concerné. Cela permet de minimiser les risques liés à l’accès aux données par des entités étrangères ou des pirates.
- Clause relative aux obligations du fournisseur de services cloud en matière de sécurité de l’information. Avez-vous une possibilité de les auditer ? Dispose-t-il d’une certification ISO ?
- Une disponibilité de 99 %, veut dire que presque 4 jours d’inactivité pour votre organisation. Est-ce acceptable ?
Les actualités récentes confirment les risques évoqués par les réglementations européennes comme RGPD et NIS2 en matière de confidentialité de disponibilité et d’intégrité des données.
Mais également en matière de continuité des activités de votre organisation. Voilà pourquoi il vous faut mettre vos données à l’abri tout comme le reste de vos actifs.
Vos données ont énormément de valeur. Et votre organisation ne fonctionnera pas sans des outils informatiques fiables et correctement gérés.
Notre recommandation ? Comparer différentes solutions cloud, non-cloud ou hybride. Choisir la solution la plus adéquate (en terme coût / bénéfice) au regard de la sensibilité des données que vous souhaitez y stocker.
Contactez-nous. E&V Partners peut vous accompagner dans ces réflexions en toute indépendance.
